Zum Inhalt springen

Gefälschte Googlebots: Attacken über manipulierte Crawler-Anfragen eskalieren

Auf den Punkt: Gefälschte Googlebots-Anfragen aus verteilten IP-Adressen umgehen Sicherheitsmechanismen und verursachen höhere Bandbreitenlast, während der echte Googlebot durch veränderte Google-Suche seinen Mehrwert fragwürdig macht.

Website-Administratoren verzeichnen seit Juni eine Welle von Bot-Anfragen, die sich als Googlebot ausgeben. Die Angreifer nutzen diese Tarnung, um Sicherheitsmechanismen zu umgehen, die legitime Crawler üblicherweise ausnehmen.

Website-Administratoren registrieren täglich hunderte bis tausende Bot-Anfragen, die sich als Googlebot ausgeben. Chris Siebenmann, Unix-Systemadministrator an der Universität Toronto, dokumentierte diese Aktivitäten im Juni und beschrieb die Zunahme als großangelegte Kampagne. Die gefälschten Anfragen stammen aus IP-Adressbereichen von Hosting- und Cloud-Anbietern wie HostRoyale, M247, Latitude.sh, Web2Objects und AWS.

Die Angreifer nutzen eine gezielte Strategie: Sie senden nur wenige Anfragen pro IP-Adresse und wechseln bei Blockierung den User-Agent-String. Damit vermeiden sie sofortige Erkennung und umgehen Sicherheitsvorkehrungen, die den echten Googlebot regulär ausnehmen. Das Ziel ist es, die Abwehrmaßnahmen von Websites zu durchdringen und Zugriff auf Inhalte zu erlangen.

Google stellt Administratoren offizielle Verifizierungsmethoden zur Verfügung: DNS-Abfragen über Kommandozeilen-Werkzeuge und Listen mit autorisierten IP-Adressbereichen des Konzerns. Diese Ressourcen sollen gegen Spoofing-Versuche schützen.

Das veränderte Suchmaschinenverhalten verstärkt die Problematik. Google zeigt zunehmend KI-generierte Antworten statt direkter Links zu Websites an, wodurch der traditionelle Zweck des Crawlings in Frage gestellt wird. Der Informatiker Paul Cantrell skizzierte das zugrundeliegende Spannungsfeld: Der ursprüngliche Gesellschaftsvertrag zwischen Google und Website-Betreibern basierte darauf, dass Googles Bots Inhalte indexieren und Besucherfindung generieren – ohne den Inhalt selbst zu kommerzialisieren. Dieser Mechanismus funktioniert nicht mehr, wenn KI-Antworten Nutzer von der Original-Website fernhalten.

Gleichzeitig belastet automatisierter Bot-Verkehr – legale und illegale Requests – die Infrastruktur. Bot-Traffic übertrifft inzwischen menschliche Zugriffe im Internet deutlich und treibt Bandbreitkosten in die Höhe. Hinzu kommt die Nutzung von Website-Daten zum Training von KI-Modellen ohne Vergütung oder explizite Genehmigung. Diese Entwicklung führt dazu, dass einige Betreiber ihre Standards für Googlebot-Freigaben überdenken.


Quelle: www.it-daily.net · Erschienen 2. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: